Uma autoridade de certificação aceita uma solicitação de certificado, verifica as informações do solicitante de acordo com a diretiva da autoridade de certificação e usa sua chave particular para aplicar sua assinatura digital ao certificado. Depois, a autoridade de certificação emite o certificado para a entidade do certificado para uso como uma credencial de segurança em uma PKI (infra-estrutura de chave pública). Uma autoridade de certificação também é responsável por revogar certificados e publicar uma lista de certificados revogados (CRL).
Uma autoridade de certificação pode ser uma entidade externa, como VeriSign, ou pode ser uma autoridade de certificação criada para ser usada pela organização através da instalação dos AD CS (Serviços de Certificados do Active Directory). Cada certificado de autorização pode ter requisitos de prova de identidade distintos para solicitadores de certificado, como uma conta de domínio, um crachá de funcionário, a carteira de motorista ou um endereço físico. Verificações de identificação como essas sempre garantem uma autoridade de certificação no local, de forma que as organizações possam validar seus próprios membros ou funcionários.
As autoridades de certificação corporativas da Microsoft usam credenciais de uma conta de usuário pessoal como prova de identidade. Em outras palavras, se você estiver conectado a um domínio e solicitar um certificado de uma autoridade de certificação corporativa, ela poderá autenticar sua identidade com base na sua conta do AD DS (Serviços de Domínio do Active Directory).
Toda autoridade de certificação também tem um certificado para confirmar a própria identidade, emitido por outra autoridade de certificação confiável ou, no caso das autoridades de certificação raiz, emitido por ela mesma. É importante lembrar que qualquer um pode criar uma CA. Portanto, um usuário ou administrador deve decidir se confia na autoridade de certificação e, por extensão, nas diretivas e nos procedimentos que autoridade de certificação tem para confirmar a identidade das entidades cujos certificados foram emitidos por ela.
Autoridades de certificação raiz e subordinadas
Uma autoridade de certificação raiz deve ser o tipo mais confiável de autoridade de certificação na PKI de uma organização. Se a autoridade de certificação raiz estiver comprometida ou emitir um certificado a uma entidade não autorizada, então qualquer proteção baseada em certificado da sua organização ficará vulnerável. Portanto, a proteção física e a diretiva de emissão de certificado de uma autoridade de certificação raiz normalmente são mais rigorosas que as destinadas às CAs subordinadas. Embora as CAs raiz possam ser usadas para emitir certificados a usuários finais para tarefas como envio de email seguro, na maioria das organizações elas só são usadas para emitir certificados para outras CAs, chamadas de CAs subordinadas.
Uma CA subordinada é uma autoridade de certificação cujo certificado foi emitido por outra CA da sua organização. Normalmente, uma CA subordinada emitirá certificados para utilizações específicas, como email seguro, autenticação baseada na Web ou autenticação de cartão inteligente. As CAs subordinadas também podem emitir certificados para outras CAs mais subordinadas. Juntas, uma CA raiz, as CAs subordinadas certificadas pela raiz e as CAs subordinadas certificadas por outras CAs subordinadas formam uma hierarquia de certificação.
Para obter mais informações sobre hierarquias de certificação, consulte Infra-estruturas de chave pública.
Autoridades de certificação corporativas e autônomas
Essa versão dos AD CS oferece suporte para a instalação de autoridades autônomas e corporativas. Para obter informações sobre as características operacionais das Autoridades de Certificação Corporativas e Autônomas, consulte Autoridades de Certificação Corporativas e Autoridades de Certificação autônomas.